網上二手買賣平台Carousell去年進行系統遷移期間發生資料外洩,私隱專員公署完成調查,指事件導致260萬名全球用戶的個人資料及超過32萬名香港用戶的帳號遭到外洩,揭示Carousell在保障個人資料安全方面犯了「根本性失誤」,令人失望,相關公司違反個人資料保安規定,私隱專員已向公司送達執行通知,指示作出糾正。
系統遷移過程出現保安漏洞
Carousell Limited早前向公署通報資料外洩事故,指一個網上論壇聲稱可出售260萬Carousell用戶的個人資料,包括32.4萬個香港用戶帳號的個人資料外洩。Carousell Limited 表示該資料外洩事故源於2022 年1月系統遷移過程中出現的一個保安漏洞。
私隱專員鍾麗玲指,外洩的資料包括用戶姓名、個人頭像、電郵地址、電話號碼和出生日期等,事故源於Carousell的不同缺失導致,包括未有在系統遷移前進行私隱影響評估和全面的安全評估、編碼覆檢程序不全面,亦欠缺相關的書面政策和有效的偵測措施;公司沒有確保已採取有效措施偵測異常活動,導致未能防止或偵測用戶的個人資料,從相關應用程式介面被擷取。
指示糾正違反事項
鍾認為Carousell Limited未有採取所有切實可行的步驟,保障用戶的個人資料,違反《私隱條例》規定,已指示平台糾正其違反事項,防止類似情況再發生。